Gestione fornitori: approccio strategico nella valutazione di adeguatezza delle misure di sicurezza - Cyber Security 360

TECNOLOGIA E SICUREZZA

Gestione fornitori: approccio strategico nella valutazione di adeguatezza delle misure di sicurezza

Una corretta gestione dei fornitori richiede un approccio strategico nella valutazione di adeguatezza delle misure di sicurezza nel rapporto con loro, necessario per garantire la protezione del perimetro aziendale. Ecco le azioni da compiere per affrontare in sicurezza il “new normal”

09 Giu 2021
D
Massimo Decorato

Head of Delivery

M
Vincenzo Marrone

Responsabile Unit Attack&Defense e Data Protection

R
Sandro Repole

Responsabile Unit Governance, Strategy & Assessment

L’argomento “gestione fornitori” è un tema articolato il cui ambito ricade su aspetti di governo, contrattualistici e tecnologici che si ripercuotono sicuramente su effort e costi che, ad oggi, poche aziende prendono in considerazione (si pensi, ad esempio, ad un budget di spesa per una valutazione dei fornitori) prima di finalizzare un qualsiasi contratto di beni o servizi.

Definire un approccio strategico nella valutazione di adeguatezza delle misure di sicurezza nel rapporto con i fornitori deve includere una identificazione degli adempimenti e dei rischi associati al rapporto che si formalizza con ogni fornitore e determinare degli indicatori correlati alla tipologia di servizio ricevuto.

Le azioni per una corretta gestione fornitori

Almeno quattro sono le azioni che, nella gestione fornitori, si devono indirizzare per una corretta misurazione:

  1. Valutare i fornitori tramite una “checklist” ben strutturata (anche avvalendosi di una modalità di erogazione in self-assessment). L’efficacia di una fase di valutazione è importante sia in fase di accreditamento di nuovi fornitori sia nel momento in cui si rendesse necessario ri-valutare fornitori già accreditati. Una checklist dovrà includere tematiche di governo della sicurezza, aspetti tecnologici e di compliance. Occorrerà verificare l’adeguata emanazione e utilizzo di procedure, linee guida e processi; dovranno essere verificate le modalità operative con cui vengono gestite confidenzialità, integrità e disponibilità e, non ultimo, l’adozione di standard internazionali di settore e governativi.
  2. Contrattualizzare i requisiti e le misure di sicurezza che i fornitori dovranno garantire durante l’erogazione del servizio. Sarà cura del Committente determinare se il livello di maturità emerso dalla fase di valutazione risulti sufficiente e conforme alle esigenze e alle politiche interne dell’azienda o si debbano prevedere delle azioni di adeguamento contrattuali e operative. Il quadro, che deriva dalla valutazione ed eventuali impegni “di rientro” da parte del fornitore, dovrà essere formalizzato e contrattualizzato inserendo, come “Allegati” alla usuale documentazione contrattuale di erogazione dei servizi, i vincoli aggiuntivi di sicurezza concordati e la possibilità di valutarne l’efficacia nel tempo.
  3. Pianificare verifiche periodiche al fine di garantire il rispetto degli accordi definiti tra le parti. Tramite il riutilizzo di “checklist” o la formalizzazione di nuove, si dovrà certificare il rispetto di quelle misure di sicurezza definite contrattualmente. Il processo di verifica dovrà essere continuo avendo cura di definire una frequenza di audit proporzionale alla criticità del fornitore.
  4. Adattare le linee guida di valutazione (checklist) e la contrattualistica relative al rapporto con il fornitore per garantire l’adesione del livello di servizio e delle misure di sicurezza ai possibili mutamenti delle necessità del committente.

La gestione fornitori per la sicurezza del perimetro aziendale

Così come molte aziende solo ora stanno iniziando ad affrontare la tematica della cosiddetta “supply chain”, lo stesso può affermarsi per la gestione della sicurezza del perimetro aziendale.

La pandemia, come un fulmine a ciel sereno, ci ha posto di fronte ad un allargamento e ad una eterogeneità di perimetro per cui le difese poste in campo sino ad ora non hanno dato i risultati attesi. Le poche aziende che avevano introdotto la tematica del lavoro da remoto, in tempi pre-Covid, sono riuscite a consolidare un processo rodato, potenziando gli strumenti e, in caso, rivedendo solo i perimetri già testati e definiti.

Altri invece hanno “goffamente” indirizzato la sola tematica della disponibilità degli applicative e dei dati ricorrendo a soluzioni “naïf” che permettessero ai dipendenti di operare “come se fossero” in ufficio.

Cosa ha comportato il non affrontare questa tematica in modo corretto? Molte aziende hanno pensato di risolvere il problema utilizzando soluzioni “fatte in casa” o cercate su di un motore di ricerca, senza l’aiuto di un cyber security integrator come, ad esempio, SCAI Puntoit.

La fretta di rispondere alle mutate esigenze e la non consapevolezza hanno impedito di valutare correttamente il rischio associato.

Non tenendo conto del cambiamento del perimetro aziendale e del relativo aumento della superficie di esposizione agli attacchi e della sua complessità, ci si è dimenticati di spostare le difese su quegli asset che prima erano protetti all’interno della rete aziendale.

Tutto ciò, unito alle moltitudini di vettori di attacco che i criminali utilizzano, ha provocato clamorosi data breach o peggio la perdita totale del patrimonio informativo aziendale.

Le azioni per affrontare in sicurezza il “new normal”

In un panorama del genere l’utente e il suo strumento di lavoro sono la superficie d’attacco ideale. È con questo paradigma in mente che possiamo affrontare il “new normal”, andando a implementare tre azioni principali:

  1. Aumentare la consapevolezza, sensibilizzando gli utenti ad un corretto uso degli strumenti aziendali, esponendo possibili rischi derivanti da un uso non corretto e introducendo semplici temi di sicurezza informatica.
  2. Portare la sicurezza all’interno dell’endpoint (che diventa un’estensione del perimetro aziendale) senza, però, minare la funzionalità dello stesso. La scelta delle protezioni da implementare è un delicato bilanciamento tra risorse e necessità. Una scelta vincente è rappresentata da soluzioni “Cross-layered detection and response” (XDR) che implementano, attraverso intelligenza artificiale, i concetti di analisi comportamentale, “indicatori di attacco” e “Zero Trust”. Tutto per riconoscere azioni e comportamenti del software e dell’utente fuori dalla normale operatività e permette di inibire qualsiasi esecuzione, scrittura e lettura fuori dal perimetro di privilege consentito.
  3. Implementare una funzione di monitoraggio e pronto intervento per gestire problematiche derivanti dall’espansione della numerosità di motori di protezione. In tal senso l’utilizzo di strutture (SOC), create e formate da fornitori dedicati, per gestire questa tipologia di attività è vivamente consigliata.

Contributo editoriale sviluppato in collaborazione con SCAI Puntoit

@RIPRODUZIONE RISERVATA

Articolo 1 di 5